Le bon, la brute et le truand : retour d’expérience dans les audits de code

Magazine
Marque
MISC
Numéro
61
Mois de parution
mai 2012
Domaines


Résumé
Cet article est un retour d'expérience d'audit de code qui présente les vulnérabilités les plus fréquemment rencontrées. Cet article n’a pas pour objet de représenter l’exploitation de vulnérabilités complexes, mais plutôt des cas simples.

1. Introduction

L'audit de code n'a jamais eu vraiment la cote chez les consultants en sécurité : l’aspect « challenge » est beaucoup moins prononcé par rapport à un test d'intrusion en boîte noire. De plus, lire des milliers de lignes de code, identifier l'arborescence d'appels de fonctions à la recherche d’un mécanisme de sécurité est plus rébarbatif que d'insérer des quotes dans un formulaire de recherche d'une page web.

Contre toute attente, en 2010 l'ARJEL (Autorité de Régulation des Jeux En Ligne [1]) a remis au goût du jour cette pratique boudée avec les audits applicatifs intrusifs, qui consiste à combiner un test d'intrusion et un audit de code afin de pouvoir examiner l'application sous toutes les coutures. Les résultats sont en effet bien plus efficients.

L'approche d’un audit de code est totalement différente d'un test d'intrusion, mais l’objectif est le même : mettre en évidence les défauts de sécurité de l'application (validation des...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Utiliser Visual Studio Code pour coder en Python

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

Comme Batman a Robin, Rocket Raccoon a Groot, le développeur a l’éditeur de code. Sans son plus fidèle acolyte, impossible d’écrire la moindre ligne de code... d’où l’importance d’être toujours à la recherche de l’outil le plus efficace qui soit, quitte à délaisser un vieux compagnon de route...

Générez la documentation technique de vos projets Godot

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

Découvrons comment utiliser GDScript Docs Maker pour générer automatiquement la documentation de vos projets Godot. Nous allons voir dans cet article que l’on peut simplement, à partir de notre code et de ses commentaires, avoir une documentation toujours à jour.

Implémentation du calcul symbolique et de la dérivation en Java

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

Les logiciels de calcul symbolique sont relativement abondants. Pour les curieux ou ceux qui voudraient intégrer ce type de fonctionnalités dans leurs propres programmes, nous allons essayer de lever une partie des mystères des théories et des problèmes qui se cachent derrière la création de ces systèmes.

Déboguez vos codes PHP

Magazine
Marque
GNU/Linux Magazine
Numéro
243
Mois de parution
décembre 2020
Domaines
Résumé

La mise au point de programmes PHP est parfois perçue comme archaïque, car la configuration d’un environnement efficace de debugging peut s’avérer déroutante. Voici comment paramétrer une confortable installation pour profiter pleinement d’outils professionnels et maîtriser le développement local ou distant.